怎样利用思科官方工具将PIX防火墙升级到ASA

ZDNet安全频道原创翻译 装载请注明作者以及出处

作为安全工具，思科PIX防火墙已经到了退出市场的时间了。你是否已经作好升级到ASA的准备了?在本文中，戴维·戴维斯将介绍一个工具，让你可以方便地将PIX防火墙升级到ASA。
--------------------------------------------------------------------------------------------

　　我在2008年初就写过一篇文章《PIX防火墙的退市令人悲伤》，在文章中，我回顾了多年来使用PIX防火墙的美好回忆，并对思科宣布将于2008年1月28日“停止出售”PIX防火墙感到万分失望。在思科PIX安全设备销售最终停止时间的通知中，他们详细地列出了各种PIX设备“停止”提供服务的时间，具体安排如下所示：

　　· 2008年1月28日停止硬件设备的销售

　　· 2009年7月28日停止软件的维护

　　· 2012年10月23日停止延续的服务合同

　　· 2013年7月27日停止技术支持

　　尽管到思科对你的PIX设备停止支持还有一段时间(2013年)，但你也应该注意到从今年7月起，将不会再提供软件方面的维护服务了。这也就意味着，即使再出现漏洞的话，思科也不会发布补丁修复它;他们会建议你升级到自适应安全设备(ASA)。此外，也不会有功能上的更新了，也就是说你拥有的PIX设备将不会发生变化了。

　　凭心而论，PIX是一个非常优秀的防火墙，工作起来也非常稳定，几乎可以提供需要的一切，让我们绝大多数人都感到满意。不过，在已经拥有一个PIX防火墙的情况下，还是有些情况应该引起关注的。此外，对于拥有数以百计PIX防火墙的大型企业来说，这方面的问题也是应该予以重点关注的。在这些日子里，对于企业来说更大的问题可能应该是“怎样才能获得将PIX防火墙升级到ASA防火墙首期需要投入的数百万美元?”我不能帮你解决这个问题。但我可以假设你已经可以将PIX防火墙升级到ASA，在这种情况下，你应该做些什么呢?

　　PIX防火墙和ASA在配置上的差别

　　PIX防火墙和ASA相对比，最关键的问题是：在配置方面它们是完全不同的。换句话说，实现同样的目的，在PIX防火墙和ASA里用到的命令是不一样的。ASA采用的是类“网际操作系统”的配置界面，而PIX防火墙采用的是由自身的“PIX操作系统”提供的配置界面。它们之间的区别主要有下面几个方面：

　　· ASA属于不同的硬件设备拥有不同的接口名称。

　　· ASA采用了类似思科网际操作系统的分界面命令模式。

　　· PIX防火墙使用FIXUP命令对应用的情况进行监测，而ASA使用的是策略图。

　　· PIX防火墙中outbound和conduit命令的作用在ASA中被访问控制列表代替了。

　　完成整个升级转换过程有两种办法可以选择，手动模式或者采用自动迁移工具。如果你想对每一步进行精确控制的话，可能就需要选择手动模式了。不过思科公司提供了可以帮助PIX防火墙升级到ASA的软件工具，实现整个迁移过程的自动化。下面就让我们来看看它是怎么样进行工作的。

　　需要注意的是，如果要使用该工具，必须保证你的PIX防火墙上运行的PIX操作系统属于六点三或者更高的版本。

　　怎样使用思科提供的将PIX防火墙升级到ASA的自动迁移工具

　　我从官方网站上下载了思科PIX防火墙升级到ASA的自动迁移工具(需要注册并提供PIX防火墙的服务协议)。它包含了三个不同的版本，可以支持包括Windows XP操作系统、苹果OSX操作系统和红帽Linux操作系统第九版在内的运行环境。我下载并进行了安装的是支持是Windows XP操作系统的版本。在我的笔记本计算机运行的是Vista操作系统，不过安装过程中并没有出现问题。安装完成后，我发现整个工具包由用户指南、迁移脚本和实际工具等部分组成。

　　PIX防火墙升级到ASA的迁移工具使用起来真的非常简单。当开始运行的时间，它需要你提供源位置和一个目标位置。源位置可以是一个“活动”的设备(已经打开电源并正在运行中)，还可以将配置文件保存在你的硬盘驱动器上。如果你需要退出活动设备的话，就需要输入类似“https：//IP地址/配置的网络地址将配置信息保存到空白的配置文件上。而目标位置就是保存迁移中配置文件的地方。

　　配置完目标文件和源文件所在的位置，就可以利用该工具对配置进行扫描。接下来要做的就是确定设备的具体类型，因为，只有这样才能继续运行整个工具。它属于ASA 5505?5510?5520?5550?5580?采用了什么样的许可证?

　　在这里，我选择的是采用了增强版授权协议的ASA 5505。并将PIX默认的以太网接口转换为ASA的虚拟局域网接口。

　　下面就是操作完成后的结果：

　　图A

　　现在，所有我要做的就是为ASA建立目标配置。只要几秒钟的时间就可以建立这个配置，得到了如下图所示的输出结果：

　　图B

　　下一步，就可以点击查看目标配置，浏览新生成的ASA配置文件。你可以发现它的内容如图C所示。这就是转换后的新ASA配置文件。不仅如此，你甚至可以发现它采用了策略图来代替fixup命令。

　　图C

　　结 论

　　这么多年来，尽管我非常喜欢使用思科PIX设备，但迁移到思科ASA这样一个更强大有效的安全工具上也是一件令人兴奋的事情。对于思科提供的迁移工具，我非常满意，它的转换效果很好，使用起来也很方便。

　　希望了解和思科PIX防火墙升级到ASA的自动迁移工具相关更多信息的话，可以访问官方网站上的相关页面。